Beheer

Security
Adobe Flash

Office valt voor Flash 0-day

Gaten in Adobe's Flash worden niet alleen via browsers misbruikt. De nieuwste 0-day raakt Microsoft Office.

© Adobe
11 juni 2018

Gaten in Adobe's Flash worden niet alleen via browsers misbruikt. De nieuwste 0-day raakt Microsoft Office.

Adobe en Microsoft hebben patches uitgebracht voor een nieuwe 0-day in de Flash-software van eerstgenoemde. Aangezien Windows 10 zelf Flash brengt en bijhoudt voor zijn ingebouwde browser Edge doet Microsoft ook aan patchwerk. Het te dichten gat vertrouwt niet op browser, maar mikt op Office om malafide Flash-code binnen te halen en uit te voeren.

Het gaat om een vers ontdekte 0-day die al actief wordt ingezet door kwaadwillenden. "Adobe is zich bewust van een melding dat een exploit voor CVE-2018-5002 in the wild bestaat en wordt gebruikt in beperkte, gerichte aanvallen op Windows-gebruikers", meldt de Flash-maker in zijn security bulletin hierover. Daarin kondigt het ook de patch aan voor zijn Flash-software op Windows, macOS, Linux en Chrome OS. Naast deze kritieke kwetsbaarheid dicht de nieuwste Flash-patch nog een ander kritiek gat (CVE-2018-4945) en twee kwetsbaarheden die van Adobe de typering 'belangrijk' krijgen.

Remote inladen ipv embedden

De door Adobe specifiek genoemde aanvallen vertrouwen niet op browsers, waarin tegenwoordig isolatietechnieken (sandboxes) zitten om malware in te perken én waarin Flash in toenemende mate standaard is geblokkeerd of zelfs geheel uitgeschakeld. In plaats daarvan mikt de exploitcode voor het meest recente 0-day gat (CVE-2018-5002) in Flash op het veelgebruikte Microsoft Office.

Malafide documenten voor Microsofts applicatiepakket bevatten een automatisch aangeroepen link naar online gehoste Flash-content die dan voor de daadwerkelijke infectie zorgt. Dit in tegenstelling tot ingebedde Flash-content in Office-documenten, wat dan door securityscanners gedetecteerd kan worden. De eigenlijke kwetsbaarheid die wordt benut is een buffer overflow, waardoor een aanvaller na 9 stappen eigen code kan uitvoeren op het kwetsbare systeem.

Workarounds

Doelwitten zijn personen en organisaties in het Midden-Oosten, melden security-onderzoekers van Icebrg. Die Amerikaanse beveiligingsleverancier is één van de simultane ontdekkers van dit Flash-gat en de aanvalscampagne via Office. Behalve Icebrg heeft ook het Chinese bedrijf Qihoo 360 Core Security deze securityzaak ontdekt en geanalyseerd. Beide hebben Adobe stilletjes getipt waarna die softwaremaker snel een patch heeft ontwikkeld. Microsoft biedt in zijn advisory over de Flash-update uitgebreide workaround-instructies voor beheerders.

De negenstaps aanval om Flash-gat CVE-2018-5002 te benutten via Office:

9-staps Flash-aanval via Office

 

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.